EventLog Analyzer: Tipps rund um Cisco-ASA-Protokolle

Cisco ASA ist ein Netzwerksicherheitsgerät, das Funktionen von Firewalls, Anti-Malware-Lösungen, Intrusion-Prevention-Systemen und Virtual-Private-Network-Geräten (kurz: VPN-Geräte) miteinander kombiniert. So unterstützt das Threat-Management-Gerät Unternehmen optimal dabei, Bedrohungen zu erkennen und Angriffe zu stoppen, bevor sich diese über das gesamte Netzwerk ausbreiten.

Cisco ASA ist in der Lage, verschiedene gängige Netzwerkangriffe zu identifizieren und zu blockieren. Dennoch sollten IT-Administratoren die Sicherheitsdaten ihrer Cisco-ASA-Geräte regelmäßig überprüfen, um ggf. weitere Bedrohungen für das Netzwerk zu erkennen. Dabei spielt die Auswertung und Analyse der Cisco-ASA-Protokolle eine zentrale Rolle. Log-Management- und -Monitoring-Lösungen wie EventLog Analyzer von ManageEngine helfen IT-Abteilungen dabei, die Cisco-ASA-Logs ein einem zentralen Ort zu sammeln und zu analysieren.

In diesem Tipp erklären wir Ihnen zunächst, wie Sie Ihre Cisco-ASA-Geräte so konfigurieren, dass sie Protokolldaten an EventLog Analyzer senden. Anschließend haben wir die wichtigsten Ereignis-IDs von Cisco ASA für Sie zusammengestellt, die Sie im Auge behalten sollten:

  1. Protokollierung der Cisco-ASA-Geräte aktivieren und für EventLog Analyzer einrichten
  2. Wichtige Cisco ASA Ereignis-IDs:

1. So aktivieren Sie die Protokollierung von Cisco ASA auf dem Syslog-Server

Um Ihre Cisco-ASA-Geräte so zu konfigurieren, dass sie Protokolle an EventLog Analyzer senden, führen Sie folgende Schritte aus:

  • Gehen Sie in Ihrem Cisco ASA-Gerät zu Configuration > ASA Firepower Configuration > Policies > Actions Alerts. Klicken Sie auf das Dropdown-Menü „Create Alert“ und wählen Sie die Option „Create Syslog Alert“ aus.
  • Für Webschnittstellen gehen Sie bitte zu Policies >Actions Alerts und geben anschließend die Werte für den Syslog-Server ein.
    • Name: Geben Sie den Namen an, der den Syslog-Server eindeutig identifiziert.
    • Host: Geben Sie die IP-Adresse/den Hostnamen des Syslog-Servers an.
    • Port: Geben Sie die Portnummer des Syslog-Servers an.
    • Einrichtung: Wählen Sie eine beliebige Einrichtung, die auf Ihrem Syslog-Server konfiguriert ist.
    • Schweregrad: Wählen Sie einen beliebigen Schweregrad, der auf Ihrem Syslog-Server konfiguriert ist.
    • Tag: Geben Sie den Tag-Namen an, der mit der Syslog-Nachricht angezeigt werden soll.

 

Cisco ASA Protokolle einfach auswerten
EventLog Analyzer verfügt standardmäßig über mehrere Cisco ASA-Sicherheitsberichte, die verschiedene Angriffsarten detailliert beschreiben und Übersichten und Trends liefern. Mit den integrierten Berichten können Sie beispielsweise die VPN-Zugriffe auf Ihr Netzwerk überprüfen, die Aktivitäten privilegierter User (z. B. Admin-Konten) überwachen oder den Cisco-ASA-Traffic analysieren. Mit der Funktion „Advanced Threat Analytics“ können Sie zudem bösartige IPs, URLs und Domänen identifizieren, die versuchen, eine Verbindung zu Ihrem Netzwerk herzustellen, und im richtigen Moment die erforderlichen Maßnahmen ergreifen.

Darüber hinaus können Sie in EventLog Analyzer benutzerdefinierte Warnmeldungen für die Cisco ASA Syslog-Analysedaten einrichten, damit Sie im Ernstfall umgehend informiert werden. So erhalten Sie umfassende Einblicke in Netzwerk-Traffic-Muster, Remote-Verbindungen und Netzwerkangriffe, mit denen Sie die passenden Maßnahmen ergreifen können, um Ihre Netzwerksicherheit zu erhöhen.

2. Wichtige Cisco ASA Ereignis-IDs

103001: Keine Reaktion von anderer Firewall

Meldung: %ASA-1-103001: (Primary) No response from other firewall (reason code = code).

Die Ereignis-ID 103001 wird erzeugt, wenn die primäre Einheit nicht über das Failover-Kabel mit der sekundären Einheit kommunizieren kann. Die Meldung enthält einen Ursachen-Code, der je nach dem Grund für das Failover variieren kann. Folgende Ursachen-Codes und Beschreibungen sind möglich:

  • Die lokale Einheit empfängt kein „hello“-Paket über die Failover-LAN-Schnittstelle, wenn ein LAN-Failover eintritt, bzw. über das serielle Failover-Kabel, wenn ein serielles Failover eintritt. Zudem meldet die lokale Einheit, dass der Peer ausgefallen ist.
  • Eine Schnittstelle hat einen der folgenden vier Failover-Tests nicht bestanden: „Link Up“, „Monitor for Network Traffic“, „ARP“ und „Broadcast Ping“.
  • Keine korrekte ACK für mehr als 15 Sekunden, nachdem ein Befehl über das serielle Kabel gesendet wurde.
  • Die Failover-LAN-Schnittstelle ist ausgefallen und andere Datenschnittstellen reagieren nicht auf zusätzliche Schnittstellentests. Zusätzlich meldet die lokale Einheit, dass der Peer ausgefallen ist.
  • Der Standby-Peer ist während der Konfigurationssynchronisierung ausgefallen.
  • Die Replikation konnte nicht abgeschlossen und die Failover-Einheit nicht synchronisiert werden.

Wie können Sie diese Situation beheben?
Überprüfen Sie, ob das Failover-Kabel korrekt angeschlossen wurde und stellen Sie sicher, dass beide Einheiten über die gleiche Hardware, Software und Konfiguration verfügen.

106001: Eingehende TCP-Verbindung abgelehnt

Meldung: %ASA-2-106001: Inbound TCP connection denied from IP_address/port to IP_address/port flags tcp_flags on interface interface_name.

Ereignisse mit der ID 106001 werden erzeugt, wenn ein Verbindungsversuch zu einer internen Adresse durch die Sicherheitsrichtlinie abgelehnt wird, die zum angegebenen Datenverkehrstyp definiert wurde. In der Meldung werden Quell- und Ziel-IP-Adressen und -Portnummern, die TCP-Flags und der Schnittstellenname angegeben. Die möglichen TCP-Flags sind:

  • ACK – Die Bestätigungsnummer wurde empfangen.
  • FIN – Daten wurden gesendet.
  • PSH – Der Empfänger hat Daten an die Anwendung übergeben.
  • RST – Die Verbindung wurde zurückgesetzt.
  • SYN – Sequenznummern wurden zum Aufbau einer Verbindung synchronisiert.
  • URG – Der Dringend-Zeiger (Urgent Pointer) wurde als gültig deklariert.

Wie können Sie diese Situation beheben?
Bei diesem Ereignis sind keine Maßnahmen erforderlich.

106015: TCP-Paket abgelehnt

Meldung: %ASA-6-106015: Deny TCP (no connection) from IP_address /port to IP_address /port flags tcp_flags on interface interface_name.

Die Ereignis-ID 106015 wird erzeugt, wenn ASA ein TCP-Paket verwirft, dem keine Verbindung in der ASA-Verbindungstabelle zugeordnet ist.

Wie können Sie diese Situation beheben?
Dieses Ereignis erfordert keine Maßnahmen, es sei denn, ASA empfängt eine große Anzahl solcher ungültigen TCP-Pakete. Wenn dies der Fall ist, ermitteln Sie die Quelle dieser Pakete und ermitteln Sie den Grund, warum diese Pakete gesendet wurden.

106017: IP wegen LAND-Attacke abgelehnt

Meldung: %ASA-2-106017: Deny IP due to Land Attack from IP_address to IP_address.

Die Ereignis-ID 106017 wird erzeugt, wenn ASA ein Paket verwirft, bei dem Quell- und Ziel-IP-Adressen sowie Portnummern identisch sind. Die Meldung weist auf ein gefälschtes Paket hin, mit dem Systeme angegriffen werden sollen. Diese Form von Angriff wird auch LAND-Attacke genannt. In der Meldung werden Quell- und Ziel-IP-Adressen angegeben.

Wie können Sie diese Situation beheben?
Falls dieselbe Meldung wiederholt auftritt, weist dies auf einen laufenden Angriff hin. Ergreifen Sie die zur Schadensbegrenzung notwendigen Schritte.

106021: Reverse-Path-Prüfung des Protokolls verweigert

Meldung: %ASA-1-106021: Deny protocol reverse path check from source_address to dest_address on interface interface_name.

Ereignis 106021 wird erzeugt, wenn ein Paket von Unicast RPF verworfen wird, das über keine Quelladresse mit gültiger Route verfügt. Unicast Reverse Path Forwarding (RPF) wird mit dem Befehl „IP verify referse-path“ aktiviert.

Wie können Sie diese Situation beheben?
Sofern die Unicast-RPF-Funktion aktiviert wurde, ist ein Eingreifen des Benutzers nicht erforderlich. In diesem Fall würde ASA den Angriff abwehren.

106023: Protokoll nach Zugriffsgruppe verweigern

Meldung: %ASA-4-106023: Deny protocol src [interface_name :source_address/source_port ] [([idfw_user |FQDN_string ], sg_info )] dst interface_name:dest_address /dest_port [([idfw_user |FQDN_string ], sg_info )] [type {string }, code {code }] by access_group acl_ID [0x8ed66b60, 0xf8852875].

Die Ereignis-ID 106023 wird von Cisco ASA erzeugt, wenn ein reales IP-Paket durch die Access Control Liste (ACL) verweigert wird. Diese Meldung wird auch dann angezeigt, wenn Sie die Protokolloption für eine ACL nicht aktiviert haben. Die Meldung enthält:

  • Informationen zur Quell- und Zielschnittstelle
  • Die Zugriffsgruppe (Access Group)
  • Die ID der Zugriffssteuerungsliste (Access Control List (ACL))

Wie können Sie diese Situation beheben?
Wenden Sie sich an den Administrator des Remote-Hosts, falls dieses Ereignis aufgrund der gleichen Quell-IP-Adresse auftritt.

110002: Egress-Schnittstelle konnte nicht ermittelt werden

Meldung: %ASA-6-110002: Failed to locate egress interface for protocol from src interface :src IP/src port to dest IP/dest port.

Die Ereignis-ID 110002 wird von Cisco ASA erzeugt, wenn ein Fehler auftritt, während ASA die Schnittstelle zu finden versucht, über die das Paket gesendet werden muss. Die Meldung enthält:

  • Protokoll
  • Source-Schnittstelle
  • Source-IP-Adresse und Portnummer
  • Ziel-IP-Adresse und Portnummer

Wie können Sie diese Situation beheben?
Sammeln Sie Details über die Ereignisse, die zu diesem Fehler geführt haben, und wenden Sie sich an Cisco TAC.

113015: AAA-Benutzerauthentifizierung in lokaler Datenbank abgelehnt

Meldung: %ASA-6-113015: AAA user authentication Rejected: reason = reason : local database: user = user: user IP = xxx.xxx.xxx.xxx.

Die Ereignis-ID 113015 wird erzeugt, wenn eine Authentifizierungsanfrage an die lokale Benutzerdatenbank für einen Benutzer abgelehnt wird, der mit einer IPsec- oder WebVPN-Verbindung verbunden ist. Der Benutzername wird ausgeblendet, wenn dieser ungültig oder unbekannt ist. Er wird jedoch angezeigt, wenn der Name gültig ist oder der „no logging hide username“-Befehl konfiguriert wurde. Der Grund der Ablehnung, der Benutzername und die IP-Adresse des Benutzers werden in der Meldung angegeben.

Wie können Sie diese Situation beheben?
Bei diesem Ereignis sind keine Maßnahmen erforderlich.

202010: NAT- oder PAT-Pool ausgeschöpft

Meldung: %ASA-3-202010:[NAT | PAT] pool exhausted forpool-name ,port range [1-511 | 512-1023 | 1024-65535]. Unable to create protocol connection fromin-interface:src-ip/src-port to out-interface:dst-ip/dst-port.

Die Ereignis-ID 202010 wird erzeugt, wenn in ASA keine weiteren Adressumsetzungs-Pools zur Verfügung stehen. Die Meldung enthält folgende Angaben:

  • Name des PAT- oder NAT-Pools
  • Das zum Herstellen der Verbindung verwendete Protokoll
  • Ingress-Schnittstelle
  • Source-IP-Adresse und Portnummer
  • Egress-Schnittstelle
  • Ziel-IP-Adresse und Portnummer

Wie können Sie diese Situation beheben?
Verwenden Sie die Befehle „show nat pool“ und „show nat detail“, um herauszufinden, warum alle Adressen und Ports des Pools verbraucht sind. Falls dieses Problem unter normalen Einsatzbedingungen auftritt, fügen Sie zusätzliche IP-Adressen zum NAT/PAT-Pool hinzu.

302015: UDP-Verbindung aufgebaut

Meldung: %ASA-6-302015: Built {inbound|outbound} UDP connection number for interface_name :real_address /real_port (mapped_address /mapped_port) [(idfw_user)] to interface_name :real_address /real_port (mapped_address /mapped_port)[(idfw_user)] [(user)].

Die Ereignis-ID 302015 wird erzeugt, wenn ein UDP-Verbindungsslot zwischen zwei Hosts erstellt wird. In der Meldung werden der Verbindungsidentifikator, die tatsächlichen und zugeordneten Sockets, der Benutzername sowie der Name des Identity Firewall Benutzers angegeben.

Wie können Sie diese Situation beheben?
Bei diesem Ereignis sind keine Maßnahmen erforderlich.

302020: Eingehende oder ausgehende ICMP-Verbindung aufgebaut

Meldung: %ASA-6-302020: Built {in | out} bound ICMP connection for faddr {faddr | icmp_seq_num} [(idfw_user)] gaddr {gaddr | cmp_type} laddr laddr [(idfw_user)] type {type} code {code}.

Ereignisse mit der ID 302020 werden erzeugt, wenn eine ICMP-Verbindung im „Fast Path“ aufgebaut wird und wenn „stateful ICMP“ mit dem Befehl „inspect icmp“ aktiviert wurde. Die Meldung enthält Informationen zu:

  • IP-Adresse des fremden, globalen und lokalen Hosts
  • Name des Identity-Firewall-Benutzers
  • dem Benutzer, der mit dem Host verbunden ist, von dem aus die Verbindung initiiert wurde
  • ICMP-Typ und -Code

Wie können Sie diese Situation beheben?
Bei diesem Ereignis sind keine Maßnahmen erforderlich.

305012: Abbruch der TCP-, UDP- oder ICMP-Übersetzung

Meldung: %ASA-6-305012: Teardown {dynamic|static} {TCP|UDP|ICMP} translation from interface_name [(acl-name)]: real_address / {real_port |real_ICMP_ID} [(idfw_user)] to interface_name: mapped_address /{mapped_port |mapped_ICMP_ID} duration time.

Die Ereignis-ID 305012 wird generiert, wenn ein Adressübersetzungs-Slot gelöscht wurde.

Wie können Sie diese Situation beheben?
Bei diesem Ereignis sind keine Maßnahmen erforderlich.

305013: Verbindung aufgrund eines NAT-Reverse-Path-Fehlers verweigert

Meldung: %ASA-5-305013: Asymmetric NAT rules matched for forward and reverse flows; Connection protocol src interface_name: source_address /source_port [(idfw_user)] dst interface_name: dst_address /dst_port [(idfw_user)] denied due to NAT reverse path failure.

Die Ereignis-ID 305013 wird erzeugt, wenn ein Verbindungsversuch mit einem per Mapping zugeordneten Host über dessen tatsächliche Adresse abgelehnt wird.

Wie können Sie diese Situation beheben?
Wenn sich der Host, der NAT verwendet, nicht auf der gleichen Schnittstelle befindet, verwenden Sie die zugeordnete Adresse anstelle der tatsächlichen Adresse, um eine Verbindung zum Host herzustellen. Falls die Anwendung die IP-Adresse eingebettet hat, aktivieren Sie zusätzlich den Befehl „inspect“.

313004: ICPM-Paket abgelehnt

Meldung: %ASA-4-313004:Denied ICMP type=icmp_type , from source_address on interface interface_name to dest_address :no matching session.

Die Ereignis-ID 313004 wird generiert, wenn ICMP-Pakete von ASA aufgrund von Sicherheitsprüfungen verworfen werden, die durch die zustandsabhängige ICMP-Funktion hinzugefügt wurden. Dabei handelt es sich in der Regel entweder um ICMP-Echo-Antworten, für die keine gültige Echo-Anfrage in ASA vorliegt, oder um ICMP-Fehlermeldungen, die sich nicht auf eine bereits in ASA eingerichtete TCP-, UDP- oder ICMP-Sitzung beziehen.

Wie können Sie diese Situation beheben?
Bei diesem Ereignis sind keine Maßnahmen erforderlich.

313005: Keine passende Verbindung zu ICMP-Fehlermeldung

Meldung: %ASA-4-313005: No matching connection for ICMP error message: icmp_msg_info on interface_name interface. Original IP payload: embedded_frame_info icmp_msg_info = icmp src src_interface_name: src_address [([idfw_user | FQDN_string], sg_info)] dst dest_interface_name :dest_address [([idfw_user | FQDN_string ],sg_info)] (type icmp_type, code icmp_code) embedded_frame_info = prot src source_address /source_port [([idfw_user | FQDN_string ], sg_info)] dst dest_address/dest_port [(idfw_user |FQDN_string ), sg_info].

Die Ereignis-ID 313005 wird erzeugt, wenn ICMP-Fehlerpakete von ASA verworfen wurden, weil sich die ICMP-Fehlermeldung nicht auf eine bereits in ASA etablierte Session bezieht.

Wie können Sie diese Situation beheben?
Wenn ein Angriff die Ursache ist, kann der Host mit Hilfe von ACLs abgelehnt werden.

Cisco ASA Auditing Tool

EventLog Analyzer ist eine umfangreiche Log-Management-Software, mit der Sie Log-Daten aus den unterschiedlichen Protokollquellen Ihres Netzwerks zentral sammeln, analysieren und verwalten können. Darüber hinaus können Sie Berichte zur Netzwerksicherheit abrufen und sich mit Alarmen über Netzwerkprobleme informieren lassen: ein IT-Sicherheitswerkzeug ohne Kompromisse.

ManageEngine – Support & Kontakt


MicroNova AG
Unterfeldring 6
85256 Vierkirchen

Vertrieb
   +49 8139 9300-456
   Sales-ManageEngine@micronova.de

Technische Unterstützung
   Support kontaktieren